Depuis le rachat de Carbon Black, Bit9 a vu ses fonctionnalités évoluer. Du simple contrôle de softwares « à risques », à la problématique de détection d’APT, Bit9 permet également maintenant de faire de la réponse sur incident. Cet article à pour but de présenter une overview du produit et de ses fonctionnalités. Bit9 est donc un produit cross plateformes, Windows et Mac (mais pas Linux), comportant plusieurs éléments.
Pour faire simple une partie des services est « sur site », une autre dans le Cloud. Sur site La solution se compose d’une base de données (Bit9 DB), d’une console et d’agents déployés sur les endpoints. Tout d’abord le Realtime Sensor and Recorder, qui est un agent déployé sur les endpoints (terminaux, serveurs, …) permettant d’enregistrer et d’avoir des informations concernant l’activité sur les différents systèmes. Ainsi les accès à la base de registre, les modifications apportées aux fichiers, l’arrivée d’un élément avec du code exécutable,… sont des exemples d’éléments qui sont consignés et qui permettent, en cas de compromission, d’avoir une visibilité sur le cycle de vie d’une attaque. Le Realtime Enforcement Engine est un module intégrant deux modes de fonctionnement :
- Detonate-and-Deny : Lorsqu’un nouvel élément arrive sur un endpoint, l’agent envoi cet élément pour analyse en sandbox sur une Plateforme de sécurité FireEye, PaloAlto ou dans le Checkpoint Threat Emulation Cloud Service. Si l’élément se révèle être malicieux, Bit9 va alors automatiquement bloquer son exécution sur les différentes plateformes.
- Default-Deny : Dans ce mode, seul les logiciels autorisés peuvent êtres exécutés. Dans le cas d’un élément non « trusté », une action utilisateur doit avoir lieu pour, par exemple, envoyer le fichier pour analyse sur une plateforme et si celui ci ne déclenche pas d’alerte, autoriser son installation sur un ou plusieurs endpoints.
Dans le Cloud Le dernier élément qui compose l’offre Bit9 est le Bit9 Cloud Services. On y trouve le Software Reputation Service et le Threat Indicator Service. Le Software Reputation Service est un service cloud qui analyse les logiciels disponibles sur internet et leur attribut des notes de réputation en fonction de plusieurs facteurs (l’âge, la source, le résultat de scans antivirus, …). En plus de cela une base de hash de malwares est présente, tout cela permet de faire de l’Application Whitelisting. Il est possible, via le service File Advisor, d’effectuer une recherche dans la base de réputation de Bit9 sur le nom ou le hash d’un fichier suspect, il est également possible de parcourir cette base de réputation à la recherche d’informations sur un software malicieux. Un module supplémentaire (le "Software reputation service for forensics") permet de faire...du forensic.
Le Threat Indicator Service fonctionne comme un fournisseur d’indicateurs de compromission. En effet, comme vu avant, l’ensemble de l’activité sur le endpoint est enregistrée, certains comportements suspects de codes exécutables sont révélateurs d’une activité inhabituelle et malveillante sur le système. Le Threat Indicator Service fourni alors des « profiles » d’attaques qui permettent de déterminer si un terminal est infecté par une menace.
Conclusion En conclusion, Bit9 se veut être une solution de détection/prévention/remédiation anti APTs, associé à une capacité d’ « incident response » justifiée par le mode de déploiement et de fonctionnement du produit. En ce qui concerne la philosophie APT, le produit se base sur des éléments isolés, il n’y a pas de mise en corrélation entre plusieurs fichiers ni de prise en compte du contexte réseau (file sandboxing, pas de rejeu de PCAP). Ainsi une attaque plus élaborée (exemple : l’attaque du CFR) ne serait pas détectée par la solution sans une considération de tous les éléments de l’attaque comme d’un ensemble. Bit9 se présente donc comme une solution de remédiation contre les ZeroDays qui échappent à la détection par signature des antivirus « classiques », mais dans le cadre d’une APT ciblée et élaborée, l’intérêt de la solution est limité.
